test

Handbok för Sun Enterprise Authentication Mechanism

Växla huvud- och slav-KDC:er

Du bör använda de här procedurerna för att underlätta växling mellan en huvud- och en slav-KDC. Detta bör endast göras om huvud-KDC:n av någon anledning skulle upphöra att fungera eller om huvudservern behöver installeras om (till exempel ny maskinvara).

Så här konfigurerar du en växlingsbar slav-KDC

Den här proceduren utförs på den slav-KDC-server som ska vara tillgänglig för att bli huvudserver.

  1. Använd aliasnamn för huvudservern och de växlingsbara slav-KDC-servrarna under installationen.

    Se till att varje system har ett alias som är inkluderat i DNS när du definierar värdnamn för KDC:erna och använd sedan aliasnamnen när du definierar värdarna i /etc/krb5/krb5.conf.

  2. Installera huvud-KDC-programvaran.

    Vid installation av huvud-KDC-programvaran följer de binärfiler och övriga filer som behövs vid en växling med. Detta inkluderar också alla de filer som en slav-KDC-server behöver. Starta inte om systemet när installationen är färdig.

  3. Följ stegen för att konfigurera en slav-KDC.

    Före eventuell växling ska servern fungera precis som de övriga slav-KDC:erna i användarkategorin. Mer information finns i "Så här konfigurerar du en slav-KDC". Installera inte slavprogramvaran. Alla filer som behövs installeras samtidigt med programvaran för huvudservern.

  4. Flytta huvud-KDC-kommandon.

    För att förhindra att huvud-KDC-kommandona körs från den här slaven flyttar du kprop, kadmind och kadmin.local till en reserverad plats.


    kdc4 # mv /usr/krb5/lib/kprop /usr/krb5/lib/kprop.save
kdc4 # mv /usr/krb5/lib/kadmind /usr/krb5/lib/kadmind.save
kdc4 # mv /usr/krb5/sbin/kadmin.local /usr/krb5/sbin/kadmin.local.save

  5. Avaktivera start av kadmind i /etc/init.d/kdc.master.

    För att hindra slaven från att hantera förfrågningar om ändring av KDC-databasen bör du kommentera bort raden som börjar med kadmind i skriptet:


    kdc4 # cat /etc/init.d/kdc.master

 .
 .

case "$1" in
'start')

        if [ -f $KDC_CONF_DIR/kdc.conf ]
        then
#                $BINDIR/kadmind 
        fi
        ;;

  6. Kommentera bort kprop-raden i crontab-filen för root.

    Det här steget förhindrar att slaven överför sin kopia av KDC-databasen. 


    kdc4 # crontab -e
#ident  "@(#)root       1.19    98/07/06 SMI"   /* SVr4.0 1.1.3.1       */
#
Använd crontab-filen för root till datainsamling för kontohantering.
#
# Kommandot rtc körs för att justera realtidsklockan om och när
# byte sker till sommartid.
#
10 3 * * 0,4 /etc/cron.d/logchecker
10 3 * * 0   /usr/lib/newsyslog
15 3 * * 0 /usr/lib/fs/nfs/nfsfind
1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1
30 3 * * * [ -x /usr/lib/gss/gsscred_clean ] && /usr/lib/gss/gsscred_clean
#10 3 * * * /usr/krb5/lib/kprop_script kdc1.acme.sun.com #SUNWkr5ma

Så här växlar du huvud- och slav-KDC:er

Den här proceduren förutsätter att slav-KDC-servern har installerats som en växlingsbar slav (se "Så här konfigurerar du en växlingsbar slav-KDC"). I den här proceduren kallas huvudservern som ska växlas ut för kdc1 och slaven som ska bli den nya huvudservern kallas för kdc4.

  1. På den gamla huvudservern: Avsluta processen kadmind.

    Genom att avsluta kadmind-processen förhindras att ändringar görs i KDC-databasen.


    kdc1 # /etc/init.d/kdc.master stop

  2. På den gamla huvudservern: Kommentera bort kprop-raden i crontab-filen för root.

    Det här steget förhindrar att den gamla huvudservern överför sin kopia av KDC-databasen. 


    kdc1 # crontab -e
#ident  "@(#)root       1.19    98/07/06 SMI"   /* SVr4.0 1.1.3.1       */
#
Använd crontab-filen för root till datainsamling för kontohantering.
#
# Kommandot rtc körs för att justera realtidsklockan om och när
# byte sker till sommartid.
#
10 3 * * 0,4 /etc/cron.d/logchecker
10 3 * * 0   /usr/lib/newsyslog
15 3 * * 0 /usr/lib/fs/nfs/nfsfind
1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1
30 3 * * * [ -x /usr/lib/gss/gsscred_clean ] && /usr/lib/gss/gsscred_clean
#10 3 * * * /usr/krb5/lib/kprop_script kdc2.acme.sun.com #SUNWkr5ma

  3. På den gamla huvudservern: Avaktivera start av kadmind i /etc/init.d/kdc.master.

    För att förhindra att huvudservern startar om kadmind om den skulle startas om själv, kommenterar du bort raden som börjar med kadmind i skriptet: 


    kdc1 # cat /etc/init.d/kdc.master

 .
 .

case "$1" in
'start')

        if [ -f $KDC_CONF_DIR/kdc.conf ]
        then
#                $BINDIR/kadmind 
        fi
        ;;

  4. På den gamla huvudservern: Säkerhetskopiera och överför databasen genom att köra kprop_script.


    kdc1 # /usr/krb5/lib/kprop_script kdc4.acme.com
Databasöverföring till kdc4.acme.com: LYCKADES

  5. På den gamla huvudservern: Flytta huvud-KDC-kommandon.

    För att förhindra att huvud-KDC-kommandona körs flyttar du kprop, kadmind och kadmin.local till en reserverad plats.


    kdc4 # mv /usr/krb5/lib/kprop /usr/krb5/lib/kprop.save
kdc4 # mv /usr/krb5/lib/kadmind /usr/krb5/lib/kadmind.save
kdc4 # mv /usr/krb5/sbin/kadmin.local /usr/krb5/sbin/kadmin.local.save

  6. På DNS-servern: Byt aliasnamn för huvudservern.

    Du byter servrarna genom att redigera zonfilen acme.com och byta ut posten för masterkdc.


    masterkdc IN CNAME kdc4

  7. På DNS-servern: Starta om domännamnservern för internet.

    Kör följande kommando på båda servrarna för att hämta den nya aliasinformationen: 


    # pkill -1 in.named

  8. På den nya huvudservern: Flytta huvud-KDC-kommandon.


    kdc4 # mv /usr/krb5/lib/kprop.save /usr/krb5/lib/kprop
kdc4 # mv /usr/krb5/lib/kadmind.save /usr/krb5/lib/kadmind
kdc4 # mv /usr/krb5/sbin/kadmin.local.save /usr/krb5/sbin/kadmin.local

  9. På den nya huvudservern: Skapa en keytab-fil för kadmin genom att använda kadmin.local.

    Den här kommandosekvensen skapar en särskild keytab-fil med principalposter för admin och changepw. Dessa principaler behövs för tjänsten kadmind. 


    kdc4 # /usr/krb5/sbin/kadmin.local
kadmin.local: ktadd -k /etc/krb5/kadm5.keytab kadmin/kdc4.acme.com
En post för principalen kadmin/kdc4.acme.com med kvno 3, krypteringstyp DES-CBC-CRC
          har lagts till i keytab-filen WRFILE:/etc/krb5/kadm5.keytab.
kadmin.local: ktadd -k /etc/krb5/kadm5.keytab changepw/kdc4.acme.com
En post för principalen changepw/kdc4.acme.com med kvno 3, krypteringstyp DES-CBC-CRC
          har lagts till i keytab-filen WRFILE:/etc/krb5/kadm5.keytab.
kadmin.local: avsluta

  10. På den nya huvudservern: Aktivera start av kadmind i /etc/init.d/kdc.master.


    kdc4 # cat /etc/init.d/kdc.master

 .
 .

case "$1" in
'start')

        if [ -f $KDC_CONF_DIR/kdc.conf ]
        then
                $BINDIR/kadmind 
        fi
        ;;

  11. På den nya huvudservern: Starta kadmind.


    kdc4 # /etc/init.d/kdc.master start

  12. Aktivera kprop-raden i crontab-filen för root.


    kdc4 # crontab -e
#ident  "@(#)root       1.19    98/07/06 SMI"   /* SVr4.0 1.1.3.1       */
#
Använd crontab-filen för root till datainsamling för kontohantering.
#
# Kommandot rtc körs för att justera realtidsklockan om och när
# byte sker till sommartid.
#
10 3 * * 0,4 /etc/cron.d/logchecker
10 3 * * 0   /usr/lib/newsyslog
15 3 * * 0 /usr/lib/fs/nfs/nfsfind
1 2 * * * [ -x /usr/sbin/rtc ] && /usr/sbin/rtc -c > /dev/null 2>&1
30 3 * * * [ -x /usr/lib/gss/gsscred_clean ] && /usr/lib/gss/gsscred_clean
10 3 * * * /usr/krb5/lib/kprop_script kdc1.acme.sun.com #SUNWkr5ma